Burp 2024.2.1.3 アーリーアダプター版 リリース内容
はじめに
この記事は、Burp Suiteのリリース内容について抄訳した内容と筆者の気になるポイントを記載しています。
Burpを使用して診断を行う方を対象にしていますので、バグ修正のような細かい変更点については本記事で触れない場合がございます。
原文をご確認されたい方は、公式のリリースノートをご覧ください。
Professional / Community 2024.2.1.3
APIスキャン
OpenAPI Definition (v3.0.x) をアップロードして API スキャンをシードできるようになりました。また、ローカル ファイルから API Definitionをアップロードすることができます。
これにより、Web サーバーでDefinitionをホストしなくても API スキャンを開始できます。
スキャンの可視性と制御を強化するために、スキャンされる API エンドポイントを表示したり設定することができます。将来的には、エンドポイント認証の処理など、さらに多くの機能を追加する予定です。
API スキャンを開始するには、ダッシュボードで[New scan] > [API scan]をクリックします。 API スキャンの実行方法の詳細については、Scanning APIsを参照してください。
Bambdasを使用した Logger キャプチャ フィルタの高度なフィルタリング
Loggerキャプチャ フィルターに Bambdas が実装されました。Logger をカスタマイズして必要なものを正確にキャプチャできるようになり、不要なトラフィックをフィルタリングすることができます。Burp の Bambdasの詳細については、Bambdasを参照してください。
新しいスキャン チェック: CSP の脆弱性
コンテンツ セキュリティ ポリシー(CSP) の脆弱性を特定する新しいパッシブ スキャン チェックを追加しました。 Burp Scanner は、安全でないスクリプト権限、クリックジャッキング、フォームハイジャック、不正な CSP 構文などの問題を識別できるようになりました。
Burp Suite Navigation Recorderの改善
いくつかの小さなバグを修正しました。
- 一部の Web サイトでエラーを引き起こしていたシャドウ DOM 要素のインストルメンテーションを削除しました。
- シークレット モード時に非シークレット ウィンドウが記録されるバグを修正しました。
- 報告された URL が時々間違っていたというバグを修正するために、より信頼性の高い URL 取得方法を導入しました。
- XPath 生成が時々誤って生成され、Burp での再生エラーが発生するバグを修正しました。
DOM Invader の改善
いくつかの改善を加えました。
- カスタム シンクのインストルメンテーションのサポートを追加しました。これにより、JavaScript シンクにマップされないクライアント側 JavaScript の脆弱性を発見できる可能性があります。
- POC の生成に影響を与えたバグを修正しました。
Javaのバージョンアップデート
Burp SuiteがサポートするJavaの最小バージョンを17から21に更新しました。コマンドラインからBurpを起動する場合は、Java 21以降を使用する必要があります。 この更新により、Java 21 以前を使用して拡張機能を作成できるようになります。
その他の改善点
- メモリの最適化をより詳細に制御できるように、Burp の Java 仮想マシンの最大メモリ許容量を設定できる設定を追加しました。
- テーブルの並べ替え機能が強化され、最大 3 つの列で並べ替えられるようになりました。この更新により、テーブル データの編成方法をより詳細に制御できるようになりました。
- Collaborator に未読のインタラクション数をタブ ラベルに表示する機能が導入され、インタラクション数を一目で簡単に監視できるようになりました。
- オートコンプリートが有効なスキャン チェックでパスワード フィールドを削除し、最新のブラウザの動作による問題の冗長性に対処しました。
- フィルター間で Bambdas を簡単にコピーできるようにするために、非モーダル フィルター ダイアログを導入しました。これにより、複数のフィルターダイアログを同時に開き、Burp Suite の使用中に開いたままにすることができます。
バグの修正
- 複雑な Web サイトの記録されたログイン機能が改善されました。
- 監査フェーズ中にタスクが一時停止され削除された場合、Burp Scanner が新しいスキャンを開始しないバグを修正しました。
- 過剰なメモリ割り当てを防ぐために、ソース コード開示スキャン チェックを最適化しました。
- リクエストの同時実行性が高い場合に Burp Scanner のブラウザリクエスト処理が失敗するバグを修正しました。
- 一部のブラウザ関連のエラーがスキャン失敗の原因となっていた問題を修正しました。
- [ターゲット] > [サイト マップ]の問題を修正し、リクエスト/レスポンスのペアが正確に表示されるようにしました。
- Burp Scanner が API エンドポイントで一部のスキャン チェックを実行できないバグを修正しました。
ブラウザのアップグレード
Burp のブラウザを、Linux と Windows の場合は 123.0.6312.58、MacOS の場合は 123.0.6312.59 にアップグレードしました。詳細については、Chromium リリース ノートを参照してください。
気になるポイント
API スキャン
アップロードされたOpenAPIのDefinitionファイルに基づいてスキャン対象のAPI Endpointを検出できるようになりました!
ダッシュボードの「New scan」から「API scan」が選択できます。
API scan用のウィザードが表示されました。
BurpのAPIのDefinitionを読み込ませた結果、「API details」画面にAPI Endpointが全て表示されました。
後の設定はBurp Scannerと変わりません。
今後API診断で、Open APIのDefinitionファイルをお客様から頂ける場合には、この機能を使って検査するほうが漏れがなくて良さそうでした。
新しいスキャン チェック: CSP の脆弱性
Issue Definitionsを確認した結果、以下のチェックが追加されていました。
- Content security policy: allowlisted script resources
- Content security policy: allows untrusted script execution
- Content security policy: allows untrusted style execution
- Content security policy: malformed syntax
- Content security policy: allows clickjacking
- Content security policy: allows form hijacking
- Content security policy: not enforced
CSPの有無やCSPのリソース設定を見て判断してそうでした。